Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

Varonis descobre novo malware minerador

Varonis descobre novo malware minerador. Norman é uma variante voltada para o minerador Monero
Emilia Bertolli
2 minuto de leitura
Publicado 30 de Setembro de 2019
Ultima atualização 11 de Fevereiro de 2022

A equipe da Varonis Security Research investigou e descobriu recentemente um novo malware minerador que se espalhou para quase todos os dispositivos em uma empresa de médio porte. O malware ganhou o nome de Norman, e é voltado para o Minerador Monero , uma criptomoeda criada em 2014.

O Norman usa várias técnicas para se ocultar e evitar sua descoberta. O código foi identificado em quase todos os servidores e estações de trabalho da empresa, mas a maioria era de variantes genéricas de criptomineradores, ferramentas de despejo de senhas, shell PHP oculto e até malwares que estavam há anos “trabalhando” nos equipamentos da empresa.

A Varonis investigou manualmente o ambiente do cliente, analisando cada estação de trabalho com base nos alertas gerados pelo Varonis DatAlert, que, devido a uma regra personalizada detectava as máquinas que estavam minerando ativamente, e usando os recursos da empresa, para que o incidente fosse contido rapidamente.

Conheça o Norman

De todas as amostras, uma se destacou:  o Norman é baseado no minerador XMRig, de alto desempenho para a criptomoeda Monero. Em um primeiro momento, o Norman parecia ser um minerador genérico se escondendo como “svchost.exe”. Mas suas técnicas se mostraram mais interessantes.

A carga útil do Norman tem duas funções: executar seu criptominerador e evitar a detecção. O elemento minerador é baseado no código XMRig hospedado no GitHib – entretanto, o endereço monero (CMR) está bloqueado pelo pool de mineração ao qual está vinculado.  Após a injeção, ele substitui sua entrada no explorer.exe para ocultar sua presença e também para de operar quando o usuário do PC abre o gerenciador de tarefas, voltando ao “trabalho” assim que o gerenciador não estiver em execução.

Durante a investigação, os especialistas da Varonis revelaram um arquivo XSL em um servidor de comando e controle (C&C). Na análise, a equipe identificou que o arquivo não era um XSL, mas um Zend Guard que ofuscou o código PHP. Isso indica que, com base no padrão de execução, essa é a carga útil do malware.

Foram encontradas, também, nove DLLs, quatro bibliotecas PHP e uma Zend Guard. Nesse ponto, a equipe da Varonis assumiu que o malware era baseado em PHP e ofuscado pelo Zend Guard.

Criado na França?

O Norman, também, pode ter sido originário da França, ou de algum outro país de língua francesa, pois o arquivo SFX tinha comentários em francês, indicando que o autor usou uma versão nessa língua do WinRAR para criar o arquivo. Além disso, algumas variáveis e funções no código estavam em francês.

Nas pesquisas, a equipe Varonis descobriu, um outro malware que parecia uma versão anterior do Norman. Apesar do conteúdo da pasta ser semelhante, o arquivo XSL era diferente e com um número de versão diferente.

Como se defender

O malware que depende de comandos nos servidores C&C são um tipo de ameaça diferente dos vírus comuns. Como suas ações não são previsíveis, detectar tais ataques pode ser um pouco mais complicado. Aqui estão três dicas para evitar shells remotos:

  1. Mantenha todo o software atualizado. Invasores geralmente exploram vulnerabilidades conhecidas para roubar dados.
  2. Monitore o acesso anormal aos dados. Um invasor provavelmente tentará filtrar dados confidenciais da empresa. Monitorar  o acesso anormal a esses dados pode ajudar a detectar usuários comprometidos e dados que possam ter sido expostos.
  3. Monitore o tráfego de rede. Ao usar um firewall ou proxy, é possível detectar e bloquear a comunicação maliciosa com os servidores C&C, impedindo a execução de comandou ou extração de dados por invasores.

O Varonis DatAlert inclui modelos de ameaças que detectam malware com criptografia. Entre em contato e solicite uma demonstração gratuita.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
por-trás-do-rebranding-da-varonis
Por trás do rebranding da Varonis
Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
Guia de migração de dados: sucesso estratégico e práticas recomendadas
A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento